hacktricks/pentesting-web/reset-password.md

# Zurücksetzen/Passwort vergessen umgehen

<details>

<summary><strong>Lernen Sie AWS-Hacking von Grund auf mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Andere Möglichkeiten, HackTricks zu unterstützen:

* Wenn Sie Ihr **Unternehmen in HackTricks bewerben möchten** oder **HackTricks als PDF herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegramm-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories senden.

</details>

<figure><img src="../../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>

Treten Sie dem [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!

**Hacking Insights**\
Beschäftigen Sie sich mit Inhalten, die sich mit dem Nervenkitzel und den Herausforderungen des Hackens befassen.

**Echtzeit-Hack-News**\
Bleiben Sie mit der schnelllebigen Hacking-Welt durch Echtzeit-Nachrichten und Einblicke auf dem Laufenden.

**Neueste Ankündigungen**\
Bleiben Sie über die neuesten Bug-Bounties und wichtige Plattformupdates informiert.

**Treten Sie uns auf** [**Discord**](https://discord.com/invite/N3FrSbmwdy) bei und arbeiten Sie noch heute mit Top-Hackern zusammen!

## **Passwort-Reset-Token-Leak über Referrer**
* Der HTTP-Referer-Header kann den Passwort-Reset-Token preisgeben, wenn er in der URL enthalten ist. Dies kann auftreten, wenn ein Benutzer nach dem Anfordern eines Passwort-Resets auf einen Link einer Drittanbieter-Website klickt.
* **Auswirkungen**: Potenzielle Übernahme des Kontos durch Cross-Site Request Forgery (CSRF)-Angriffe.
* **Referenzen**:
- [HackerOne-Bericht 342693](https://hackerone.com/reports/342693)
- [HackerOne-Bericht 272379](https://hackerone.com/reports/272379)
- [Artikel zum Passwort-Reset-Token-Leak](https://medium.com/@rubiojhayz1234/toyotas-password-reset-token-and-email-address-leak-via-referer-header-b0ede6507c6a)

## **Passwort-Reset-Vergiftung**
* Angreifer können den Host-Header bei Passwort-Reset-Anfragen manipulieren, um den Reset-Link auf eine bösartige Website umzuleiten.
* **Patch**: Verwenden Sie `$_SERVER['SERVER_NAME']`, um Passwort-Reset-URLs zu erstellen, anstatt `$_SERVER['HTTP_HOST']` zu verwenden.
* **Auswirkungen**: Führt zu potenzieller Übernahme des Kontos durch das Preisgeben von Reset-Token an Angreifer.
* **Schritte zur Minderung**:
- Überprüfen Sie den Host-Header anhand einer Whitelist zulässiger Domains.
- Verwenden Sie sichere, serverseitige Methoden zur Generierung absoluter URLs.
* **Referenzen**:
- [Acunetix-Artikel zur Passwort-Reset-Vergiftung](https://www.acunetix.com/blog/articles/password-reset-poisoning/)

## **Passwort-Reset durch Manipulation des E-Mail-Parameters**
* Angreifer können die Passwort-Reset-Anfrage manipulieren, indem sie zusätzliche E-Mail-Parameter hinzufügen, um den Reset-Link umzuleiten.
* **Schritte zur Minderung**:
- Parsen und validieren Sie E-Mail-Parameter serverseitig ordnungsgemäß.
- Verwenden Sie vorbereitete Anweisungen oder parameterisierte Abfragen, um Injection-Angriffe zu verhindern.
* **Referenzen**:
- [Accountübernahme bei Readme.com](https://medium.com/@0xankush/readme-com-account-takeover-bugbounty-fulldisclosure-a36ddbe915be)

## **Ändern von E-Mail und Passwort eines beliebigen Benutzers über API-Parameter**
* Angreifer können E-Mail- und Passwortparameter in API-Anfragen ändern, um Kontozugangsdaten zu ändern.
* **Schritte zur Minderung**:
- Stellen Sie eine strenge Parametervalidierung und Authentifizierungsprüfung sicher.
- Implementieren Sie robustes Logging und Monitoring, um verdächtige Aktivitäten zu erkennen und darauf zu reagieren.
* **Referenz**:
- [Vollständige Übernahme des Kontos durch API-Parametermanipulation](https://medium.com/@adeshkolte/full-account-takeover-changing-email-and-password-of-any-user-through-api-parameters-3d527ab27240)

## **Keine Ratebegrenzung: E-Mail-Bombardierung**
* Fehlende Ratebegrenzung bei Passwort-Reset-Anfragen kann zu einer E-Mail-Bombardierung führen, bei der der Benutzer mit Reset-E-Mails überflutet wird.
* **Schritte zur Minderung**:
- Implementieren Sie eine Ratebegrenzung basierend auf IP-Adresse oder Benutzerkonto.
- Verwenden Sie CAPTCHA-Herausforderungen, um automatischen Missbrauch zu verhindern.
* **Referenzen**:
- [HackerOne-Bericht 280534](https://hackerone.com/reports/280534)

## **Ermitteln, wie der Passwort-Reset-Token generiert wird**
* Das Verständnis des Musters oder der Methode hinter der Token-Generierung kann dazu führen, dass Tokens vorhergesagt oder durch Brute-Force ermittelt werden.
* **Schritte zur Minderung**:
- Verwenden Sie starke, kryptografische Methoden zur Token-Generierung.
- Stellen Sie ausreichende Zufälligkeit und Länge sicher, um Vorhersagbarkeit zu verhindern.
* **Tools**: Verwenden Sie Burp Sequencer, um die Zufälligkeit der Tokens zu analysieren.

## **Erratbare GUID**
* Wenn GUIDs (z. B. Version 1) erratbar oder vorhersagbar sind, können Angreifer sie durch Brute-Force ermitteln, um gültige Reset-Tokens zu generieren.
* **Schritte zur Minderung**:
- Verwenden Sie GUID-Version 4 für Zufälligkeit oder implementieren Sie zusätzliche Sicherheitsmaßnahmen für andere Versionen.
* **Tools**: Verwenden Sie [guidtool](https://github.com/intruder-io/guidtool), um GUIDs zu analysieren und zu generieren.

## **Manipulation der Antwort: Ersetzen einer schlechten Antwort durch eine gute Antwort**
* Manipulation von HTTP-Antworten, um Fehlermeldungen oder Einschränkungen zu umgehen.
* **Schritte zur Minderung**:
- Implementieren Sie serverseitige Überprüfungen, um die Integrität der Antwort sicherzustellen.
- Verwenden Sie sichere Kommunikationskanäle wie HTTPS, um Man-in-the-Middle-Angriffe zu verhindern.
* **Referenz**:
- [Kritischer Fehler in Live-Bug-Bounty-Event](https://medium.com/@innocenthacker/how-i-found-the-most-critical-bug-in-live-bug-bounty-event-7a88b3aa97b3)

## **Verwendung eines abgelaufenen Tokens**
* Testen, ob abgelaufene Tokens immer noch für das Zurücksetzen des Passworts verwendet werden können.
* **Schritte zur Minderung**:
- Implementieren Sie strenge Token-Verfallsrichtlinien und validieren Sie den Token-Verfall serverseitig.

## **Brute-Force-Passwort-Reset-Token**
* Versuch, das Reset-Token mithilfe von Tools wie Burpsuite und IP-Rotator durch Brute-Force zu ermitteln, um IP-basierte Rate-Limits zu umgehen.
* **Schritte zur Minderung**:
- Implementieren Sie robuste Rate-Limiting- und Kontosperrmechanismen.
- Überwachen Sie verdächtige Aktivitäten, die auf Brute-Force-Angriffe hinweisen.

## **Versuchen Sie, Ihr Token zu verwenden**
* Testen, ob das Reset-Token eines Angreifers in Verbindung mit der E-Mail des Opfers verwendet werden kann.
* **Schritte zur Minderung**:
- Stellen Sie sicher, dass Tokens an die Benutzersitzung oder andere benutzerspezifische Attribute gebunden sind.

## **Sitzungsinvalidierung bei Abmeldung/Passwort-Reset**
* Stellen Sie sicher, dass Sitzungen ungültig werden, wenn ein Benutzer sich abmeldet oder sein Passwort zurücksetzt.
* **Schritte zur Minderung**:
- Implementieren Sie eine ordnungsgemäße S
## Referenzen
* [https://anugrahsr.github.io/posts/10-Password-reset-flaws/#10-try-using-your-token](https://anugrahsr.github.io/posts/10-Password-reset-flaws/#10-try-using-your-token)

<figure><img src="../../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>

Treten Sie dem [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!

**Hacking Insights**\
Beschäftigen Sie sich mit Inhalten, die sich mit dem Nervenkitzel und den Herausforderungen des Hackens befassen.

**Echtzeit-Hack-News**\
Bleiben Sie mit den neuesten Nachrichten und Erkenntnissen aus der schnelllebigen Hacking-Welt auf dem Laufenden.

**Neueste Ankündigungen**\
Bleiben Sie über die neuesten Bug-Bounties und wichtige Plattform-Updates informiert.

**Treten Sie uns bei** [**Discord**](https://discord.com/invite/N3FrSbmwdy) bei und beginnen Sie noch heute mit der Zusammenarbeit mit Top-Hackern!

<details>

<summary><strong>Lernen Sie AWS-Hacking von Null auf Held mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Andere Möglichkeiten, HackTricks zu unterstützen:

* Wenn Sie Ihr **Unternehmen in HackTricks bewerben möchten** oder **HackTricks als PDF herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories senden.

</details>